web browser

• 3'üncü taraf uzantılarının riski yeterince tartışılmamıştır. uzantı meselesi bir süredir kafamı tekrar kurcalamaya başladı. hazır olarak paketlenmiş bu kod parçacıkları; doğal olarak işlevlerini yerine getirebilmek için bağlantı kurulan bütün web sitelerindeki verilere erişir ve form girişleri (şifreler) dahil her şeyi okuyabilirler. buraya kadar yazılımın doğal yeteneğinden bahsedersiniz ki, bir html form girişinin casusluk yeteneği ne ise bu da o kadar casustur - sır olarak kalır; iletilmeden silinir..
  
  sorgulamayı sürdürmemin sebebi; -chrome için sürüme isabet edemesem de- firefox quantum'a kadar genel olarak tarayıcılar keylogger / veri toplama komut dosyalarından sorumlu idi ve bunu vaat ediyorlardı. (*bir güvenlik açığı kazanına dönmüş internet explorer karşısında da en kuvvetli kozları idi). modern ve performansı artırılmış olarak gelen yeni ana sürümlerde bu anlayış değişti. artık uzantıların -mobil işletim sistemlerindeki uygulamalara benzer şekilde- erişim izni istemeye başlaması; şeffaflık için değil - bu sorumluluğu kullanıcıya atmak içindi. bu dönemde tarayıcıların eklenti izni istemesi hararetli tartışmalar döndürmüştü - cyber-warrior'dan da hatırladığım kadarı ile bu tür tartışmalar başlamıştı ve tartışmalar küresel olarak da yaygındı.. çünkü, firefox'un: "aksi belirtilmedikçe bütün eklentiler güvenlidir" diyen resmi bir vaadi vardı. bu yorumu okuyanlardan da hatırlayanlar olabilir - güvenliği kusurlu bir uzantı eklemeye çalıştığınızda firefox: "kötü amaçlı yazılımlar gizliliğinizi ihlal edebilir" şeklinde verilen bir uyarı ile o uzantıyı yüklemenizi engellerdi.
  
  ancak bu da çok ender rastlanan bir durumdu ve uzantıların güvenliği için de sadece resmi firefox deposundan yüklemeniz yeterli idi ki sebep olarak firefox'un bu güvenliği vaat etmesi gösterilirdi. bkz: are add-ons safe to install? (galerideki uzantıların güvenliğini garanti ediyor; üçüncü taraf web sitelerinden yüklenilmemesi konusunda uyarıyor). firefox quantum'dan sonra ise, bu garanti düşerek - şu satırla yer değiştiriyor: "eklentileri ya da herhangi bir üçüncü şahıs yazılımı kurarken her zaman dikkatli olun" (karşılaştırın: https://support.mozilla.org/…ssing-safety-extension).
  
  artık firefox, önerilen uzantılarda / bir insan tarafından kontrol edilen uzantılarda bile casus kodu garanti etmiyor. yazılımların doğal olarak sahip olduğu yeteneklerinin kötüye kullanılmayacağına dair bir garanti ya da vaadi yok: verileriniz bir yere iletiliyor da olabilir ve izin vererek bu riski göze aldınız. bu modern güvenlik anlayışına sahip olan da yalnız mozilla değil: belki safari hariç, bütün tarayıcılar bu yeni güvenlik anlayışı ile çalışıyor. burada da "yeni" terimi insanları genellikle "daha iyi olduğu" anlayışına götürüyor; ama yenilik her zaman kullanıcının / tüketicinin lehine çalışmaz.
  
  yeni tarayıcıların kullanıcı lehine de çalışan güvenliğini inkâr etmek mümkün değilse de artık yeni sorun "bilgisayarınız için en tehlikeli 100 site" değil: artık sorun bir web sitesinin işletim sistemine yükleyebileceği şımarık komut dosyaları ve meşhur activex izinleri değil - düpedüz gizlilik sorunu.
  
  uzantıların açık kaynak olmaları da bu aşamada önemli bir referans olmayabilir: yüklenen sürüm ile dağıtılmış sürümün farklılığı senaryo kötüye giderse; bir sosyal mühendislik tasarımına bakar. güvenlik için hiçbir şeyin güvenli olmadığını varsaymak zorundasınız. aslında en akıllı seçenek de hiçbir uzantı kullanmamaktır; ama en azından banka gibi hassas veri girişlerini, uzantıların devre dışı bırakıldıkları gizli bir oturumdan yollamak, basitçe yapılabilecek en kolay temel savunmadır. uzantılarda da ısrar edilirse deneysel olarak taranan değil; yine de firefox'un kontrolünden geçen uzantıların tercih edilmesi kısmen güvenli sayılabilir... benim kanaatime göre aynı derecede riski de vardır. dönemin en büyük antivirüs yazılımlarından ve insan kontrolünden de kaçabilen casus kodlara bizzat tanıklık etmiş bir kimse olarak, benim bakışım her zaman şüpheli olacaktır. verileri raporlayan kodları bir antivirüs firmasına bizzat yollamıştım; bu bir sosyal mühendislik denemesi idi ve sözde acemi bir kullanıcı olarak verilerimin bu yazılım ile çalındığını söylemiştim - bana geri dönüş yaptıklarında güvenlik uzmanlarının bir sorun tespit edemediğini söylemişlerdi. bu kod da misyon için yazılmış bir hacking grubuna ait ve aynı misyonda kullanmam için bana da verilmişti.
  
  (buna da değinmek gerekebilir, bkz: tor browser/@yazanbiri yorumlamalarda tor'un güvenliği teknik sebepler altında savunuluyor. tor browser'ın noscript'i kullanması çelişki olmaz; yazarı tor resmi ekibinde ve tor da yerleşik olarak -bahsedilen sorunlar için- güvenlik yamaları da çalışır. tor browser'ın güvenlik riskleri de bu yorumlarda işlenmiştir, fakat ona özgü ve de doğrulanabilirdir).